Microsoft werkt Windows Defender om Superfish infectie te verwijderen

Bijgewerkt op 20 februari op de opmerkingen van Mozilla en Symantec te nemen en details over van derden antivirus software toe te voegen. Updated 21-februari met extra informatie over de Norton-software.

Innovatie;? M2M-markt stuitert terug in Brazilië, veiligheid, FBI arrestaties vermeende leden van Crackas With Attitude voor het hacken van de VS Gov’t ambtenaren, veiligheid, WordPress dringt er bij gebruikers in staat om nu te werken om kritieke gaten in de beveiliging vast te stellen; Veiligheid; Witte Huis benoemt eerste Federal Chief Information Security Officer

Enkele uren na dit artikel werd gepubliceerd, Lenovo erkende security problemen met de vooraf geïnstalleerde software op de consumenten-pc’s en bracht zijn eigen removal tool.

De Microsoft Security Response Team kan zeer snel bewegen.

De tech wereld ontplofte donderdag met de onthulling dat Lenovo een adware programma genaamd Superfish Visual Discovery op een onbekend aantal van de consumenten-pc’s had geïnstalleerd, met de extra bonus van een lokale basiscertificaat dat een vreselijke risico voor de eigenaars van de getroffen machines gesteld.

Op vrijdag, bracht Microsoft de nieuwste definities voor zijn Windows Defender-software, die is opgenomen als een standaard functie op alle Windows-pc’s 8.x. De nieuwe definities, die automatisch worden geïnstalleerd, detecteren en verwijderen van de beledigende app en het certificaat.

Een Lenovo beveiligingsadvies geeft de modellen van notebooks beïnvloed door de Superfish SSL kaping, terwijl een bedrijf verklaring zegt dat Superfish wordt gebruikt om te verbeteren ‘gebruikers’ computeren ervaringen.

Om de effectiviteit van het verwijderen te testen, installeerde ik de Superfish pakket met behulp van een kopie geleverd door een security-onderzoeker, die het van een Lenovo PC had gewonnen. Ik bevestigd dat de software zowel de Superfish toepassing en de gevaarlijke basiscertificaat toegevoegd.

Windows Defender had mijn virtuele pc vanochtend vroeg gescand met behulp van de definities die automatisch had geïnstalleerd op 3:00, en had niets ontdekt. Nadat ik handmatig bijgewerkt met de meest recente definities en liep een quick scan, maar het systeem gedetecteerd de Lenovo-certificaat en beval zijn onmiddellijke verwijdering.

Na oking het opruimen en opnieuw op te starten, opende ik Certificate Manager en bevestigde dat de gewraakte basiscertificaat inderdaad was verdwenen.

Op systemen die niet actief en up-to-date hebben antivirussoftware, Windows Defender wordt automatisch uitgevoerd. Het event logs op mijn testsysteem tonen diverse scans en meerdere definitie-updates elke dag.

Als een ander antivirus programma wordt uitgevoerd, wordt Windows Defender uitgeschakeld. Het zal niet geplande scans doen, noch kan u handmatige scans uitvoeren. Zoals Peter Bright van Ars Technica notities, dit is problematisch op Lenovo pc’s waar de kopers hebben opgezet proef antivirus-software als onderdeel van dezelfde software van derden belasting die Superfish en de bijbehorende certificaat omvat.

Er is geen garantie dat andere beveiligingssoftware makers zal detecteren en verwijderen van deze gevaarlijke software. Ik een proefversie van de nieuwste Norton Security-software van Symantec, bijgewerkt met de meest recente definities geïnstalleerd, en vervolgens uitgevoerd een quick scan van een systeem besmet met het Lenovo-versie van de Superfish software. De Norton-software heeft geen waarschuwingen leiden, ook al is Symantec Security Response-database identificeert Superfish als adware (classificeren het als een laag risico).

Vervolgens heb ik speelde een volledige scan, die ook niet opdagen eventuele waarschuwingen. Vreemd, de Norton log bevatte detecties voor zowel Superfishcert.dll en Visualdiscovery.exe, maar beide dossiers werden vermeld als “vrijgesproken.”

Via e-mail, Brian Ewell, Threat Intelligence Officer van Symantec Security Response, zei dat hij niet in staat was om uit te leggen waarom de Norton-software niet deze bedreigingen niet te detecteren

We hebben detecties vrijgegeven, dus het is moeilijk te zeggen waarom dit niet te activeren voor u zonder te weten welke versie van de definities dat je draait en welke versie van de Superfish programma dat u had geïnstalleerd.

We zijn voortdurend bezig onze detectie voor dit als we nieuwe monsters tegenkomen en zijn onderzoek naar eventuele bijkomende sanering kansen.

Werk 21-februari: Overnight, de Norton-software gedownload en geïnstalleerd nieuwe detectie handtekeningen, en toen ik vanochtend controleerde de Norton-software is het weergeven van een dialoogvenster te merken dat het Superfish.adware had gedetecteerd als een bedreiging. De aanbevolen actie was echter de Superfish bestanden uitsluiten. Ik moest die optie “Fix” in drie verschillende plaatsen handmatig wijzigen. De Norton-software is niet detecteren of te bieden aan de potentieel gevaarlijke Superfish certificaat te verwijderen.

Een waarschuwing: Windows Defender niet gecontroleerd Mozilla Firefox, die zijn eigen certificaat winkel onderhoudt. Na het succesvol uitvoeren van de sanering, controleerde ik het certificaat op te slaan in Firefox en ontdekte dat de potentieel gevaarlijke basiscertificaat nog geïnstalleerd in die browser en zou handmatig verwijderen vereisen. Mozilla’s Cryptographic Manager Engineering, Richard Barnes, zegt via e-mail dat het bedrijf is “deze situatie te onderzoeken” en zal verdere updates te verstrekken wanneer het onderzoek is afgerond.

Mijn testsysteem had geen Google Chrome geinstalleerd, dus ik was niet in staat om te controleren of het vereist handmatig verwijderen van het certificaat. Omdat Chrome maakt gebruik van het Windows-certificaat op te slaan, is het onwaarschijnlijk dat dit een risico, maar ik heb Google gevraagd om bevestiging en zal dit bericht met een antwoord te werken

(Merk op dat deze controle van derden browsers noodzakelijk is omdat ik Superfish geïnstalleerd nadat Firefox reeds is geïnstalleerd. Op een OEM-systeem, waarbij een alternatieve browser is geïnstalleerd na de feiten, deze stap misschien niet nodig zijn. Toch, better safe than sorry .)

In de afgelopen maanden, heeft Microsoft onder vuur komen te trage reactie op beveiligingsfouten in Windows. Casu kwalitatief verschilt doordat het overtredende code maakt geen deel uit van Windows en geen uitgebreide testen vereisen. Voor Windows-gebruikers die niet bereid of technisch in staat om de lastige handmatig verwijderen uit te voeren, dit is erg goed nieuws.

De onwelkome en potentieel gevaarlijke software is voorgeïnstalleerd op sommige Lenovo consumenten-pc’s tussen september en december 2014. Als u een Lenovo PC vóór die datum gekocht, bent u waarschijnlijk niet te worden beïnvloed. Pc’s verkocht in januari of februari misschien nog in gevaar als ze in het laatste kwartaal van 2014 werden verscheept en hebben op magazijn of winkelschappen in de tussentijd zijn geweest.

? M2M markt stuitert terug in Brazilië

FBI arrestaties vermeende leden van Crackas With Attitude voor het hacken van de VS Gov’t ambtenaren

WordPress dringt er bij gebruikers in staat om nu te werken om kritieke gaten in de beveiliging op te lossen

Witte Huis benoemt eerste Federal Chief Information Security Officer